被入侵窃取 Ripple 钱包种子和私钥，"XRP 账本基金会在 X 上发布，受传染的版本是在差异时间上传的， 开发商还证实，Bitpie 全球领先多链钱包，此刻有一个干净的 4.2.5 版本，请立即停止并旋转与受影响系统的任何私钥或奥秘， 如果用户使用其中一个版本，Xaman 钱包、XRPScan、First Ledger 和 Gen3 Games 项目没有受到供应链攻击的影响，所有用户都应该立即升级到这个版本，虽然总下载量并不大，是 Ripple 币通过 JavaScript 与 Ripple 币区块链交互的推荐库， ，Ripple 推荐加密货币 NPM JavaScript 库名为 "xrpl.js"，答允威胁者窃取存储在钱包中的所有资金，在过去的一周内下载量凌驾 14 万次，用于窃取 XRP 钱包的种子、私钥和助记符。

恶意代码插入到 xrpl.js NPM 库中 按照开发安详公司 Aikido 的说法，总共有 452 次下载，从而试图变得隐秘， 近期。

这些被破坏的版本已经被删除。

并将其转移到攻击者控制的处事器上，使用 xrpl.js 的项目应该立即升级到 v4.2.5，此功能接受字符串作为参数，这是一个用于与 XRP 账本交互的 JavaScript 库， NPM 库通过可疑方法进行了修改，它不会影响 XRP 账本代码库或 Github 存储库自己，名为 CheckValitysofdeed 将附加到折衷版本中的 " /src/index.ts " 文件的末尾进行了修改，这表白攻击可能发生在 NPM 发布过程中，如果任何帐户的主密钥可能被妥协，" 澄清一下：这个漏洞存在于 xrpl.js 中，该代码试图通过使用 " AD-REFFERAL" 用户代理使其看起来像网络流量监视系统的广告请求， xrpl.js 库由 Ripple 币账本基金会（XRPLF）维护，这种供应链攻击类似于之前以太坊和索拉纳 npm 用于窃取钱包种子和私钥的攻击。

XRP Ledger 支持钥匙旋转：https：//xrpl.org/docs/tutorials/how-tos/how-tos/manage-manage-acccount-account-settings/assign-a-a-a-regular-regular-key-pair-，它已经被广泛接纳， ] xyz/xcm。

它支持钱包操纵、XRP 转账和其他分类账功能。

威胁者可以在其中收集它，然后通过 http Post 请求转发给 https：// 0x9c [ ，" 开发人员称，恶意提交没有呈此刻公共 GitHub 存储库中，。

目前已经确定，XRP 账本代码库或 GitHub 存储库没有受到影响， 恶意代码被添加到 xrpl NPM 包的 2.14.2、4.2.1、4.2.2、4.2.3 和 4.2.4 版本中。

恶意代码似乎是由与 Ripple 组织相关的开发人员帐户添加的， 通过 checkValidityOfSeed 函数窃取数据 威胁者可以操作这些信息在本身的设备上导入被盗的 XRP 钱包，以提取其中的任何资金，checkValidityOfSeed（）函数在各种函数中被调用，由于它是与 XRP 区块链交互的推荐库，可能是通过受损的凭证添加的，则应将其禁用：https：//xrpl.org/docs/tutorials/how-tos/manage-manage-account-settings/disable-master-key-pair，并于下午时间 4:46 到 5:49 之间发布到 NPM 注册表中，波场钱包，但这个库可能被用来打点和连接更多的 XRP 钱包。